El ransomware se ha convertido en una amenaza engañosa, en extremo coordinada y peligrosamente sofisticada capaz de paralizar organizaciones de cualquier tamaño. Los cibercriminales ahora explotan incluso las herramientas de TI legítimas para infiltrarse en redes y divulgar ataques de ransomware. En un ejemplo sobrecogedor, Microsoft reveló recientemente cómo los actores de amenaza usaron mal su útil de cooperación remota de cooperación rápida para implementar la destructiva tensión de ransomware infausto Hilván. ¿Y qué es peor? Innovaciones como ransomware como servicio (RAAS) están bajando la mostrador para la entrada, lo que hace que los ataques de ransomware sean más frecuentes y de gran valor que nunca. Según CyberseCurity Ventures, para 2031, se paciencia un nuevo ataque de ransomware cada 2 segundos, con daños proyectados que alcanzan los $ 275 mil millones astronómicos anuales.
Ninguna ordenamiento es inmune al ransomware, y construir una táctica de recuperación sólida es igualmente, si no más, importante que intentar evitar todos los ataques en primer zona. Una sólida táctica de continuidad comercial y recuperación de desastres (BCDR) puede ser su última y más crítica partidura de defensa cuando se rompe el ransomware, lo que le permite recuperarse rápidamente del ataque, reanudar las operaciones y evitar sufragar el rescate. En particular, el costo de modificar en BCDR es insignificante en comparación con la devastación que puede causar tiempo de inactividad prolongado o pérdida de datos.
En este artículo, desglosaremos las cinco capacidades esenciales de BCDR que debe tener para recuperarse de guisa efectiva del ransomware. Estas estrategias pueden significar la diferencia entre la recuperación rápida y el fracaso comercial posteriormente de un ataque. Exploremos qué debe hacer cada ordenamiento ayer de que sea demasiado tarde.
Sigue la regla de respaldo 3-2-1 (¡y luego poco!)
La regla de copia de seguridad 3-2-1 ha sido durante mucho tiempo el en serie de oro: mantenga tres copias de sus datos, guárdelos en dos medios diferentes y mantenga una copia fuera del sitio. Pero en la era del ransomware, eso ya no es suficiente.
Los expertos ahora recomiendan la táctica 3-2-1-1-0. El adicional 1 significa una copia inmutable, una copia de seguridad que no se puede cambiar o eliminar. El 0 representa cero duda en su capacidad para recuperarse, con puntos de recuperación probados verificados.
¿Por qué la aggiornamento? El ransomware ya no solo se dirige a los sistemas de producción. Todavía indagación activamente las copias de seguridad asimismo. Es por eso que el aislamiento, la inmutabilidad y la comprobación son esencia. El almacenamiento de copia de seguridad basado en la estrato y con el salero proporciona capas esenciales de protección, manteniendo las respaldas fuera del valor de las amenazas que incluso usan credenciales de compañía robadas.
Tener tales copias de seguridad inmutables asegura que los puntos de recuperación permanezcan sin modificar, sin importar qué. Son su red de seguridad cuando todo lo demás está comprometido. Por otra parte, este nivel de protección de datos ayuda a cumplir con las normas de seguros cibernéticos y obligaciones de cumplimiento.
Consejo de deducción: Busque soluciones que ofrezcan una obra de Linux endurecida para camuflar y aislar copias de seguridad fuera de la superficie de ataque de Windows popular.
Automatizar y monitorear las copias de seguridad continuamente
La automatización es poderosa, pero sin monitoreo activo, puede convertirse en su punto ciego más ancho. Si proporcionadamente programar copias de seguridad y automatizar la comprobación ahorra tiempo, es igual de importante certificar que esas copias de seguridad estén verdaderamente ocurriendo y que sean utilizables.
Use herramientas incorporadas o secuencias de comandos personalizados para monitorear los trabajos de copia de seguridad, activar alertas sobre fallas y realizar la integridad de sus puntos de recuperación. Es simple: supervise continuamente o arriesgue a descubrirlo demasiado tarde que sus copias de seguridad nunca le dieron la espalda. Probar y validar regularmente los puntos de recuperación es la única forma de dejarlo en Dios en su plan de recuperación.
Consejo de deducción: Elija soluciones que se integren con los sistemas de boletos de automatización de servicios profesionales (PSA) para aumentar automáticamente alertas y boletos para cualquier hipo de copia de seguridad.
Proteja su infraestructura de respaldo de ransomware y amenazas internas
Su infraestructura de respaldo debe estar aislada, endurecida y estrechamente controlada para evitar el comunicación o manipulación no autorizada. Usted debe:
- Bloquee su entorno de red de respaldo.
- Aloje su servidor de copia de seguridad en un segmento de red de ámbito regional segura (LAN) sin comunicación a Internet entrante.
- Permita la comunicación saliente del servidor de respaldo solo a las redes de proveedores aprobadas. Bloquee todo el tráfico de salida no admitido utilizando estrictas reglas de firewall.
- Permitir la comunicación solo entre los sistemas protegidos y el servidor de respaldo.
- Use firewalls y listas de control de comunicación basadas en puertos (ACL) en los interruptores de red para hacer cumplir el control de comunicación granular.
- Aplicar el enigmático a nivel de agente para que los datos estén protegidos en reposo, utilizando claves generadas a partir de una frase segura solo que controle.
- Haga cumplir los controles de comunicación estrictos y la autenticación.
- Implemente el control de comunicación basado en roles (RBAC) con roles de menos privilegios para los técnicos de nivel 1.
- Asegure la autenticación multifactor (MFA) para todo el comunicación a la consola de mandato de copia de seguridad.
- Monitoree los registros de auditoría continuamente para obtener escaladas de privilegios o cambios de roles no autorizados.
- Asegúrese de que los registros de auditoría sean inmutables.
Revise regularmente para:
- Eventos relacionados con la seguridad como inicios de sesión fallidos, escaladas de privilegios, aniquilación de copias de seguridad y aniquilación de dispositivos.
- Acciones administrativas como cambios en los horarios de respaldo, cambios en la configuración de retención, la creación de nuevos usuarios y los cambios en los roles de los usuarios.
- Copia de respaldo y copia de seguridad (replicación) Tasas de éxito/descompostura y tasas de éxito de comprobación/descompostura de comprobación de respaldo.
- Mantente alerta a los riesgos graves.
- Configure alertas automáticas sobre violaciones de políticas y eventos de seguridad de incorporación severidad, como un cambio no calificado a las políticas de retención de copia de seguridad.
Prueba de restauraciones regularmente e incluya en su plan DR
Las copias de seguridad no significan mínimo si no puede restaurarlos de guisa rápida y completa, y es por eso que las pruebas regulares son esenciales. Los simulacros de recuperación deben programarse e integrarse en su plan de recuperación de desastres (DR). El objetivo es desarrollar la memoria muscular, revelar debilidades y confirmar que su plan de recuperación verdaderamente funciona bajo presión.
Comience definiendo el objetivo de tiempo de recuperación (RTO) y el objetivo del punto de recuperación (RPO) para cada sistema. Estos determinan qué tan rápido y recientes deben ser sus datos recuperables. Las pruebas contra esos objetivos ayudan a certificar que su táctica se alinee con las expectativas comerciales.
Es importante destacar que no limite las pruebas a un tipo de restauración. Simule las recuperaciones a nivel de archivo, las restauraciones completas de metal desnudo y las fallas de nubes a gran escalera. Cada ambiente descubre diferentes vulnerabilidades, como retrasos en el tiempo, problemas de compatibilidad o brechas de infraestructura.
Por otra parte, la recuperación es más que una tarea técnica. Involucre a las partes interesadas en todos los departamentos para probar los protocolos de comunicación, las responsabilidades de roles y los impactos orientados al cliente. ¿Quién acento con los clientes? ¿Quién desencadena la esclavitud de mando interna? Todos deben conocer su papel cuando cada segundo cuenta.
Detectar amenazas temprano con la visibilidad de nivel de respaldo
Cuando se proxenetismo de ransomware, la velocidad de detección lo es todo. Si proporcionadamente las herramientas de punto final y de red a menudo se destacan, su capa de respaldo asimismo es una partidura de defensa poderosa, a menudo pasada por detención. El monitoreo de los datos de copia de seguridad para anomalías puede revelar signos tempranos de actividad de ransomware, lo que le brinda un eclosión crítico ayer de que ocurra un daño generalizado.
La visibilidad a nivel de copia de seguridad le permite detectar signos reveladores como enigmático repentino, deleciones masivas o modificaciones anormales de archivos. Por ejemplo, si un proceso comienza a sobrescribir el contenido del archivo con datos aleatorios mientras deja todas las marcas de tiempo modificadas intactas, esa es una bandera roja importante. Ningún software cierto se comporta de esa guisa. Con una detección inteligente en la capa de respaldo, puede atrapar estos comportamientos y ser alertado de inmediato.
Esta capacidad no reemplaza las soluciones de detección y respuesta de punto final (EDR) o antivirus (AV); Los sobrealimenta. Acelera el triaje, ayuda a aislar sistemas comprometidos más rápido y reduce el radiodifusión de golpe militar de un ataque.
Para obtener el mayor impacto, elija soluciones de respaldo que ofrezcan detección de anomalías en tiempo auténtico y soporte de integración con su información de seguridad y mandato de eventos (SIEM) o sistemas de registro centralizados. Cuanto más rápido vea la amenaza, más rápido podrá desempeñarse, y esa puede ser la diferencia entre una interrupción beocio y un desastre importante.
Consejo de deducción: entrenar a los usuarios finales para convenir e informar actividades sospechosas temprano
Si BCDR es su última partidura de defensa, sus usuarios finales son los primeros. Los ciberdelincuentes se dirigen cada vez más a los usuarios finales hoy en día. Según Microsoft Digital Defense Report 2024, los actores de amenaza están tratando de alcanzar a las credenciales de los usuarios a través de varios métodos, como los ataques de phishing, malware y fuerza bruta/contraseña. Durante el posterior año, aproximadamente de 7,000 ataques de contraseña se bloquearon por segundo solo en ID de Entra.
De hecho, los ataques de ransomware a menudo comienzan con un solo clic, generalmente a través de correos electrónicos de phishing o credenciales comprometidas. La capacitación de seguridad regular, especialmente los ejercicios de phishing simulados, ayuda a crear conciencia sobre las banderas rojas y los comportamientos riesgosos. Equipe a su equipo con el conocimiento para detectar señales de advertencia de ransomware, convenir prácticas de datos inseguras y contestar adecuadamente.
Fomentar los informes inmediatos de cualquier cosa que parezca mal. Fomentar una civilización de facultad, no fallo. Cuando las personas se sienten seguras para murmurar, es más probable que tomen medidas. Incluso puede llevarlo más remotamente lanzando programas internos que recompensan la vigilancia, como una iniciativa de héroe de seguridad cibernética para convenir y celebrar a los primeros reporteros de posibles amenazas.
Pensamientos finales
El ransomware no tiene que ser temido; tiene que ser planeado para. Las cinco capacidades BCDR que discutimos anteriormente lo equiparán para soportar incluso las amenazas de ransomware más avanzadas y certificar que su ordenamiento pueda recuperarse de guisa rápida, total y con confianza.
Para implementar sin problemas estas estrategias, considere Datto BCDR, una plataforma unificada que integra todas estas capacidades. Está construido para ayudarlo a mantenerse resistente, pase lo que pase. No espere una nota de rescate para descubrir que sus copias de seguridad no fueron suficientes. Explore cómo el datto puede robustecer su resiliencia de ransomware. Obtenga el precio personalizado de Datto BCDR hoy.
